刚看新闻,有人在微博上爆出电信替换了自签名。
http://static.cnbetacdn.com/article/2017/0424/c6b07e084995381.jpg
“一位提供游戏网络加速服务的用户在微博上报告,中国电信悄悄替换了其自签名证书,“为何有的地区访问我的 HTTPS 网站,获得的证书并不是我签发的。
你们很聪明,只替换掉自签发的证书,因为自签发证书浏览器本来就有警告加上大部分信息都一样,神不知鬼不觉,用户很难发现自己的 HTTPS 访问被监听了,要不是我的软件对证书指纹有验证根本不会发现这问题 。”原证书是 RSA-2048 ,伪造的证书是 RSA-1024 。中国电信客服表示可以“协调处理”。 ”
1
gen900 2017-04-24 18:38:54 +08:00 via iPhone
中间人攻击。这是专有名词不意味着一定有狭义的攻击发生,但是网络安全已经无从谈起了。
监听,篡改,窃取……可以做的事多了去了 |
2
tyfulcrum 2017-04-24 18:42:00 +08:00
用自签名的网站不多吧,除了 12306 这种的还有比较大众的网站用么?
|
3
zhihaofans 2017-04-24 18:46:13 +08:00 via iPhone
@tyfulcrum 我上次才在 V2EX 看到一个
|
4
lyhiving 2017-04-24 18:50:03 +08:00 via Android
业务需要,等不了了,赶紧上车
|
5
akwIX 2017-04-24 18:53:06 +08:00
就算自签自用,也得自己先签个 CA 再来签发别的证书
|
6
jasontse 2017-04-24 18:54:58 +08:00 via iPad
搞个大新闻。先观望
|
7
ltux 2017-04-24 18:57:27 +08:00 via Android
劫持,插广告。
|
8
taineric 2017-04-24 20:00:04 +08:00 via Android
既然都一样,这加密有什么意义
|
9
mdzz 2017-04-24 20:17:26 +08:00
然而 RSA-1024 才是真证书
ref: http://weibo.com/1219205751/F00TyA2ev |
11
wdlth 2017-04-24 22:05:59 +08:00
毕竟提供“网络加速”,电信也想看看“加速”的内容……
|
12
roist 2017-04-24 22:10:54 +08:00
最近某被通缉的 郭姓巨富 在海外闹的风生水起,把我党弄得有鸡飞狗跳的架势,相关即得利益者欲杀之而不得,加强措施可以理解
|
13
tzxun 2017-04-24 23:30:35 +08:00
虽说电信吃相难看,但是在生产环境使用自签名完全就是自废武功。在 SSL 证书日益便宜的现在,这种行为本身就是对用户极不负责的行为。
|
14
ryh 2017-04-25 01:14:52 +08:00 via iPhone
里面还有笨蛋在刷“哈哈哈假的比真的安全” 也是神逻辑 第三方随便中间人的 2048bits 证书怎么会比 1024 的服务器自签的安全
|
15
davidyin 2017-04-25 07:18:26 +08:00
有个 CCA 记录好像就是可以防止这种的。
|
17
Williamp 2017-04-26 17:40:17 +08:00
Off course, this decision is made by telecom for user's information security and trust to their website because browser gives the warning for self-signed certificate https://www.globalsign.com/en/ssl-information-center/dangers-self-signed-certificates/
|